Se del registro dei trattamenti la detestata soglia evitar non impetro…Niente panico: è un’opportunità, prima che un obbligo!
Per tutti i GDPR-addicted, “250” è un numero magico: è l’unico parametro oggettivo che possa aiutare a decidere se il registro dei trattamenti è un obbligo, o un’opportunità, e viene spesso e volentieri utilizzato per dare concretezza al concetto di “larga scala”.
Concentrandoci sul registro dei trattamenti, l’art. 30 del GDPR sottolinea, infatti, che gli obblighi di tenuta del registro, imposti a titolari e responsabili del trattamento, «non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10».
Sembrerebbe tutto semplice: se hai 250 dipendenti, devi tenere il registro; se hai meno di 250 dipendenti, hai l’obbligo solo se il trattamento presenta rischi per gli interessati, o se il trattamento non è occasionale, o se il trattamento include dati “sensibili” o dati “giudiziari”.
Evidentemente, così semplice non è: altrimenti, il WP Art. 29 non avrebbe ricevuto tante richieste di chiarimenti da adottare il “position paper” del 19 aprile scorso…
È la lettura combinata dell’art. 30 e del considerando 13, a prestare il fianco a dei dubbi: se, come recita il considerando, «il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni», allora può dirsi che le piccole-medie imprese non hanno mai l’obbligo di tenere il registro dei trattamenti?
No, non è possibile: è l’art. 30 a dare attuazione al considerando, e non il contrario. Il mancato raggiungimento della soglia dei 250 dipendenti apre soltanto la porta: per essere invitati a entrare, non bisogna eseguire trattamenti che pongono rischi per gli interessati, né trattamenti non occasionali, e nemmeno trattamenti che includono dati “sensibili” o dati “giudiziari”.
E qui arriva il difficile, perché è chiaro che è sostanzialmente impossibile che un soggetto non esegua alcun trattamento su base non occasionale, o non tratti dati “sensibili” (vorrebbe dire che non ha dipendenti). Ma la semplificazione è dietro l’angolo: è sufficiente adottare un registro per quei trattamenti dai quali deriva il relativo obbligo.
Inutile chiedersi se valga davvero la pena limitare il registro a pochi trattamenti: il WP Art. 29 lo ha sottolineato, ma non ce ne sarebbe nemmeno stato bisogno, che il registro è uno strumento estremamente utile per facilitare la valutazione dei rischi e per identificare le misure adeguate da adottare a tutela degli interessati, e quindi per dare attuazione al principio dell’accountability.